ross andreson's book security engineeringorrd/compsecseminar/chapter8-raz.pdf white-paper.pdf...

ROSS ANDRESON'S BOOK "SECURITY ENGINEERING"

רז מזרחי : מציג

סמינר באבטחת מידע

דונקלמןאור ' פרופ

1

http://primofe.haifa.ac.il/primo_library/libweb/action/display.do?tabs=detailsTab&ct=display&fn=search&doc=hau_aleph001711888&indx=8&recIds=hau_aleph001711888&recIdxs=7&elementId=7&renderMode=poppedOut&displayMode=full&frbrVersion=&dscnt=2&frbg=&tab=default_tab&dstmp=1350159241086&resetConfig=true&mode=Basic&dum=true&str=rank&fromLogin=true&vl(freeText0)=ross+anderson&prefLang=iw_IL&vid=NHAU

.context-טעות ב...על כדורגל לא נדבר היום

2mlssoccer.com: קרדיט ל–תמונות

▪ MLS – Multilevel Security

▪ Subject = process, client, user

▪ Object = file or other resource

3

(:Access Control)סוגים של בקרת גישה ▪

▪DAC

▪MAC

▪RBAC

4searchsecurity.techtarget.com:לקרדיט–תמונות

▪ Mandatory access control refers to a type of access control by which the operating system constrains the ability of a subject or initiator to access or generally perform some sort of operation on an object or target.

/http://blog.isec.co.il: קרדיט ל–תמונות 5

▪ Role-based access control (RBAC) is a method of regulating access to computer ornetwork resources based on the roles of individual users within an enterprise. Inthis context, access is the ability of an individual user to perform a specific task,such as view, create, or modify a file. Roles are defined according to jobcompetency, authority, and responsibility within the enterprise.

6identitysander.wordpress.com: קרדיט ל–תמונות

,slideshare.net/Axiomatics/

▪ Discretionary access control - a type of access control defined by the TrustedComputer System Evaluation Criteria "as a means of restricting access to objects

based on the identity of subjects and/or groups to which they belong. Thecontrols are discretionary in the sense that a subject with a certain accesspermission is capable of passing that permission (perhaps indirectly) on to anyother subject.

7

-slideshare.net/lucenerevolution/pdf-lucene:קרדיט ל–תמונות

solrrevdocumentlevelsecurityrajanimaskifinal

.מתאפשרת גישה רק במידה ואין סתירה ביניהן

8

https://selinuxproject.org/page/NB_TE:קרדיט ל–תמונות

9searchsecurity.techtarget.com:קרדיט ל–תמונות

בסיווג והפרדה של הצורךהבנת < ==המלחמה הקרה , 2-מלחמת העולם ה▪איך מוגדר הסיווג של מידע –הגדרה של מדיניות < ==מידע לרמות שונות

יש צורך במנגנון שיאכוף את המדיניות הזאת< ==איתוואיך לנהוג

:תהליך/ הוגדרו תוויות המגדירות סיווג של מסמך ▪

▪ Top Secret

▪ Secret

▪ Confidential

▪ Unclassified

10

= חשיבות המידעסיווג המידע

-http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/whitepaper/view/view: קרדיט ל–תמונות

for-government-multilevel-secure-desktops-white-paper.pdf

▪MLS - היא מערכת שמממשתMAC(לרוב.)

תוויות הסיווג הן שמגדירות האם לתהליך מותר לגשת למשאב או ▪.לא

התוויות מוגדרות אצל מנהל המערכת לפי מדיניות האבטחה של ▪.הארגון

:לדוגמא, קיימות תוויות נוספות לא הירארכיות▪▪{Air Force, Intelligence, Navy,…}

:נשתמש לאורך ההרצאה בתוויות–לשם הנוחות ▪▪Top Secret, Secret, confidential, Unclassified.

11

12

קובץ תקציביםסודי: סיווג

כספים: תוויות

:רינתסודי: סיווג

משאבי אנוש, כספים: תוויות

משהסודי: סיווג


-people.eecs.berkeley.edu/~raluca/cs261:קרדיט ל–תמונות

f15/

13








f15/

NEW

:בעיה שנוצרה רינת יכולה לקרוא ולכתוב לקובץ:אבל התוויות של הקובץ תתעדכן

משאבי אנוש, כספים< =כספים

14








f15/

משאבי אנוש~

:פתרוןעם רמת " תקציבים"-רינת תיגש ל

:סיווג ותוויות שלכספים, סודי

.באותו האופן לגבי התוויות הסיווג ההירארכיות▪

.נרצה שהמידע יקבל את התוויות שהכי רלוונטיות אליו▪

15

מספרי הטלפון : קובץבמשרדים

בלתי מסווג: סיווג

Read, Write:רינת

בלתי מסווג: סיווג

כספים: קובץסודי: סיווג

Read, Writeרינת:סודי: סיווג

:רינתבלתי מסווג: סיווג

:רינתבלתי מסווג: סיווג

אם שרת אחד נפרץ על מכונה וירטואלית שלא יוכלו להשתלט גם 1..על האחרים

מאפשר למשתמשים שונים לגשת רק למידע הדרוש להם לצורך 2.. ביצוע עבודתם

, מאפשר לדרגים גבוהים להיחשף למידע מסווג–סביבה צבאית 3.. ומניעת דרגים נמוכים לגשת למידע זה

.מידע עסקי4.

16

?MLSמשתמש ביתי ירצה לעבוד במערכת הפעלה שמממשת ▪

?מי כן▪

17

.MLSארגונים גדולים ובעיקר ארגונים ציבוריים חייבים למממש עקרונות של ▪

אזרחים / שחשיפתם לפרטים , לרוב הם אוגרים מידע סודי של אזרחים: הסיבה לכך▪.פ חוק"אחרים אסורה ע

.כל ארגון כזה חייב להחזיק מדיניות▪

ועוד מסמכים המגדירים את רמת האבטחה בארגון ונהלים ודרישות של מערכות הארגון ▪.שיבטיחו אי זליגה של מידע

(.חוקים אותם קובעת המדינה)בדרך כלל הם כפופים לרגולציה ▪

.בנק ישראל: דוגמא▪

18

▪Bell-Lapadula - BLP

▪Biba

19

הומצא לטובת חיל האוויר האמריקאי▪

במטרה להעביר מסרים בעלי רמת סיווג שונה▪

reference-monitor-יש צורך ב▪

▪TCB–צריך אמון ב, כדי שהמדיניות לא תישבר:חומרה▪

תוכנה ▪

אנשים▪

מודל זה שם דגש על חשאיות המידע▪

20

:עקרונות▪אסור לקרוא משכבה ▪

(NRU)שנמצאת למעלה

אסור לכתוב לשכבה ▪חוק )שנמצאת למטה

"(כוכב"ה

מותר לקרוא ולכתוב ▪לאותה רמה כמו שלך

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/mls.html: קרדיט ל–תמונות 21

.מלמטה למעלה: זרימת המידע▪

22

yuwang.gitbooks.io/data-protection/content/mandatory_access_control.html:קרדיט ל–תמונות

הפוךBLP-ידוע כ▪

שם דגש על שלמות ▪המידע

:חוקים▪אסור לכתוב למעלה▪אסור לקרוא מלמטה▪לכתוב /מותר לקרוא▪

לאותה רמה

מערכת שמממשת מודל ▪: זה▪Windows Vista

מערכות תוך ארגוניות▪

23


פותחה המערכת על מנת לתת מענה לטיפול בהודעות שמגיעות משכבות סיווג ▪.US Department of Defenseעבור שונות

שמאפשר מעבר של הודעות פיירוולסוג של , השתמשו בה במערכות מייל של הצבא▪.מלמטה למעלה אבל לא להיפך

. XTS-300-ה–SCOMPהבאה של גרסא▪

▪SCOMP היוותה דוגמא למערכתMLSנכנסה לספר הכתום. למחשב מאובטח.

▪Orange Book— the US Trusted Computer Systems Evaluation Criteria

:הספר מגדיר סטנדרטים באבטחת מידע ורמות אבטחה של מערכות▪▪A1 b3 b2 b1 c2 c1 .

▪SCOMP דורגהA1.

24

cbi.umn.edu/securitywiki/CBI_ComputerSecurity/PubDoD520028TCSEC.html.: קרדיט ל–תמונות

25

Bibaמממשת ▪

.System-קבצי מערכת מסומנים בתגית▪

.Medium ,IE–Low–( דיפולט)כל השאר , High–מנהל מערכת ▪

.קוראת מלמטהVISTAבמקרים מסויימים ▪

.BLPקיימת גם אפשרות למימוש ▪

25

www.taringa.net: קרדיט ל–תמונות

26


.מאפשר הרצה של כמה מערכות הפעלה על אותה עמדת קצה▪

:ועדיין עולות השאלות והבעיות▪?האם אולי מסתתר בכרטיס מסך או בדרייברים קוד זדוני▪

האם המיקרופון או המצלמה שמחוברים לעמדה אכן מחוברים למערכת ▪?המתאימה

.בנוסף קיימת בעיה של תקשורת בין המכונות▪

27-http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/whitepaper/view/view-for-government-multilevel: קרדיט ל–תמונות

secure-desktops-white-paper.pdf

, שני תהליכים שאסור להם לתקשר אחד עם השני לפי מדיניות האבטחה▪הרצת קוד זדוני )כתוצאה ממתקפה , עדיין עובר ביניהם מידע כלשהו

.או כתוצאה מבאג( שגורם לכך

.זרימה של מידע מלמעלה למטה: במקרה שלנו▪

.מתבצע תיאום מראש על דרך העברת המידע▪

סימון של השכבה העליונה לתחתונה על אירוע מסוים דרך משאב ▪.משותף

כדי להימנע ( פונקציונליות(עריכה של ההתנהגויות של מערכת ההפעלה ▪.לגמרי מהתרחישים האלו יקרה מאוד

הפרדה בין זיכרון של התהליכים ברמות : יש פתרונות לצמצום התופעה▪הקצאת זמן , הגבלה של כמות המיקום בדיסק שתהליך מקבל, שונות

שינוי זמן הריצה המוקצה לתהליכים לפי רמות , ריצה לתהליך בכל רמה.ועוד

28

כאשר הוא השכבה הגבוהה והוא משדר מידע לאנטנות שהן שכבות , ברדאר למשל▪

הוא מפיץ הרבה מידע זבל שתפקידו גם למלא את רוחב . יש רוחב פס גדול, נמוכות

.וכל זאת כדי להפוך את ההאזנה אליו קשה יותר, הפס שלא בשימוש

ניתן להוריד , כדי לשפר את מנגנון אבטחת הסודיות ואי זליגת מידע בין השכבות▪

.את רוחב הפס לביטים בודדים

29

:למחשבהשאלות▪

?יראושמתחתיוהרמותמה.גבוההסיווגברמתקייםמידע1.

/ליצורמעונייןUnclassifiedתהליך.Secretבסיווגבמערכתקייםקובץ2.

?שלאאולומאפשרים.השםאותועםנתיבבאותולקובץלכתוב

.הגיימינגמעולםופתרוןלבעיהדוגמא3.

30

Ross Andreson's:קרדיט ל–תמונות book "Security Engineering“

31, /https://www.ibm.com/developerworks/library/l-secure-linux-ru: קרדיט ל–תמונות

http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/whitepaper/view/view-for-government-multilevel-secure-desktops-white-paper.pdf ,https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/

.בעלות סיווג שונהMLSשכבות של 2העברת מידע בין מפאשר▪

המשאבה הזו שמאפשרת העברת מידע מלמטה למעלה בצורה פיתחו את▪וכתיבה , י קריאה מלמטה בפרקי זמן קבועים"התבצע עהכלעד עכשיו )מאובטחת

(.למעלה מבלי להסתכל לאן כותבים וזה הגביל מאוד

ולכן השכבה . המנגנון עובד בעזרת אישור הגעת הבקשה כדי לוודא אמינות▪י מנגנוני הגבלת רוחב הפס של "מימשו זאת ע. העליונה גם שולחת מידע לתחתונה

.של מתי האישור עובררנדומיזציה, בבאפריםשימוש , כמות המידע שעובר

.מאפשר חיבור של שתי רמות בעלות סיווג שונה▪

32

Ross Andreson's:קרדיט ל–תמונות book "Security Engineering“

▪Ross Andreson's book "Security Engineering“

▪https://en.wikipedia.org/wiki/Biba_Model#Featureshttps://en.wikipedia.org/wiki/Multilevel_securityhttps://en.wikipedia.org/wiki/Operating-system-level_virtualizationhttps://en.wikipedia.org/wiki/Virtual_machinehttps://en.wikipedia.org/wiki/Security-

Enhanced_Linuxhttps://www.google.co.il/webhp?sourceid=chrome-instant&rlz=1C1CHZL_iwIL736IL736&ion=1&espv=2&ie=UTF-8#q=linux+mlshttps://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/selg-overview.htmlhttps://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/selg-

overview.html#sec-dac-intro1https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/ch-selinux.htmlhttps://access.redhat.com/documentation/en-

US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/ch-acls.htmlhttps://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/s1-samba-security-

modes.htmlhttp://mof.gov.il/hon/Regulations/Pages/RegulationAndLegislation.aspx#k=(%D7%90%D7%91%D7%98%D7%97%D7%AA

%D7%9E%D7%99%D7%93%D7%A2)https://www.nevo.co.il/law_html/law01/500_755.htm#Seif9https://www.nevo.co.il/law_html/law01/017m1_014.htmhttps://www.google.co.il/search?q=15408+ISO&rlz=1C1CHZL_iwIL736IL736&oq=15408+ISO&aqs=chrome..69i57

j0l5.448j0j7&sourceid=chrome&ie=UTF-8http://www.boi.org.il/he/Pages/Results.aspx?q=%D7%90%D7%91%D7%98%D7%97%D7%AA%20%D7%9E%D7%99%D7%93%D7

%A2http://www.boi.org.il/he/CreditRegister/Lists/BoiCreditDataSharingLicensing/%D7%A8%D7%99%D7%A9%D7%95%D7%99-%D7%A7%D7%A8%D7%99%D7%98%D7%A8%D7%99%D7%95%D7%A0%D7%99%D7%9D%20%D7%95%D7%A2%D7%A7%D7%A8%D7%95.pdfhttps://www.boi.org.il/he/BankingSupervision/SupervisorsDirectives/DocLib/357.pdfhttp://www.boi.org.il/he/Payme

ntSystem/Documents/%D7%94%D7%95%D7%A8%D7%90%D7%94%20%D7%9E%D7%A1%D7%A4%D7%A8%202%20-%20%D7%9E%D7%99%D7%93%D7%A2%20%D7%95%D7%93%D7%99%D7%95%D7%95%D7%97%20%D7%9E%D7%9E%D7%A2%D7%A8%D7%9B%D7%AA%20%D7%AA%D7%A9%D7%9C%D7%95%D7%9E%D7%99%D7%9D%20%D7%9E%D7%91%D7%95%D7%A7%D7%A8%D7%AA%20%D7%95%D7%9E%D7%9E%D7%A2%D7%A8%D7%9B%D7%AA%20%D7%AA%D7%A9%D7%9C%D7%95%D7%9E%D7%99%D7%9D%20%D7%9E%D7%91%D7%95%D7%A7%D7%A8%D7%AA%20%D7%9E%D7%99%D7%95%D7%A2%D7%93%D7%AA.pdfhttp://www.boi.org.il/he/NewsAndPublications/LecturesSpeechesAndPresentations/Pages/15-05-2014-

CEO-Speech.aspxhttp://www.boi.org.il/he/NewsAndPublications/LecturesSpeechesAndPresentations/Documents/InfoSec%202014%20in%

20Cyberspace.pdfhttp://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/vmware-horizon-view-byod-federal-secure-desktop-white-

paper.pdfhttps://www.trustedcs.com/resources/whitepapers/RTCS_VMW_MLS_View_TTC.pdfhttp://csrc.nist.gov/groups/SNS/rbac/faq.htmlhttp://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/whitepaper/view/view-for-government-multilevel-

secure-desktops-white-paper.pdfhttps://www.google.co.il/webhp?sourceid=chrome-instant&rlz=1C1CHZL_iwIL736IL736&ion=1&espv=2&ie=UTF-

8#q=mac+fed+security+mls&start=10https://wiki.gentoo.org/wiki/SELinux/Tutorials/SELinux_Multi-Level_Securityhttps://www.centos.org/docs/5/html/Deployment_Guide-en-US/sec-mls-

ov.htmlhttps://selinuxproject.org/page/NB_MLShttps://www.acsac.org/2005/papers/154.pdfhttps://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/sec-mls-

ov.htmlhttps://fedoraproject.org/wiki/Security_contexthttps://selinuxproject.org/page/NB_SChttps://selinuxproject.org/page/NB_MLS#Security_Levelshttps://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-

Enhanced_Linux/mls.htmlhttps://wiki.gentoo.org/wiki/SELinux/Type_enforcementhttp://www.informit.com/articles/article.aspx?p=606586&seqNum=2http://www.linuxtopia.org/online_books/getting_started_with_SELinux/SELinux_adding_user_domain.htmlhttps://www.ibm.com/support/knowledgecenter//ssw_aix_72/com.ibm.aix.security/taix_mls.htmhttps://www.ibm.com/developerworks/librar

y/l-secure-linux-ru/

33